ソーシャルエンジニアリングは技術やテクニックとは正反対、人のミスや油断を狙ったサイバー犯罪のことです
2020年7月のTwitterの大事件の原因は17歳の少年
2020年7月16日に、テスラのイーロン・マスクやオバマ前大統領ら著名人のTwitterアカウントが乗っ取られるという大事件がありました。
犯人はなんとフロリダ州の17才の少年を主犯とする4人の若者でした。
犯人たちは、Twitter社にハッキングなどの技術を使って不正に侵入したのではなく、以下のようにTwitterの社員をだます「ソーシャルエンジニアリングの手口」で犯行を成功させたと言われています。
- 少年達は時間をかけてTwitter社の社員をだまして信頼関係を結んだ。
- 信頼された上で、社員に電話してTwitter社のサポートツールのアカウント情報を聞き出した。
- サポートツールを操作して、130件のアカウントを乗っ取り、うち45件のアカウントのパスワードを変更してなりすまし、3億5000万人もの人に偽投稿を送った。
- 36件のアカウントでは、非公開のプライベートメッセージが読まれ、上院議員を含む7件のアカウントはデータがダウンロードされた。
ソーシャルエンジニアリングとは、「重要情報をマルウェアやハッキングと言った技術的な手段を使わずに盗み出す」ことで、「Social=社会的」と「Engineering=工学、技術」を併せた言葉です。
犯人とは知らず、親しくやりとりしていくうちに、知らず知らずにうちに誘導されて、重要情報を漏らしたり、いつの間にかマルウェアなど不正プログラムをインストールされてしまったりします。
わずか17才の少年に、Twitterの専門家の社員がだまされて門外不出のアカウント情報を提供してしまったことから、怖さが分かります。
アメリカではこれまでも、北朝鮮が軍需産業に従事する人たちを狙って、好条件の転職を持ちかけるなど、ソーシャルエンジニアリングの大規模な犯罪が発覚していました。
ソーシャルエンジニアリングは身近な人が犯人になる事が多い
私たちの周りでも、
「ライバル会社の人と仲良くなって、うっかり機密情報や営業情報を見せた」
「転職先で、つい前の勤務先のアカウントを使用して、情報を取り出して使った」
「スマホに役に立つアプリだと恋人をだましてロックを解除し、行動監視アプリ(ストーカーウェア)を入れた」
「訪問時に相手の好意で家庭のWifiに接続してもらったことを良いことに、外から家庭内の情報を盗み取った」
など人の油断や好意、好奇心につけ込んだソーシャルエンジニアリング犯罪は誰もが直面する危険性があります。
ソーシャルエンジニアリングの犯人は、家族、友人、同僚など身近な人が多いと言われています。
またソーシャルエンジニアリングのもっとも簡単な手口「ショルダーハック=後ろからのぞく」は、実はかなり多くの被害を生み出しています。
今回の17才の少年達の大胆な犯罪をきっかけに、もう一度大切なアカウントなど情報管理について、ぜひ再検討してみて下さい。
2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッ…
人の隙を見て機密情報を盗み取るショルダーハックこそ実はもっとも多くの被害を生み出しているサイバー犯罪です。ショルダーハッ…
